跨域单选登录

它不是我正在寻找的明确的跨域会话，但它是解释我想要的内容的最简单方法。

我有一个创建网站的系统。 这些网站托管在许多不同的服务器上。

用户可以创建他们的帐户，然后他们可以创建很多网站。 他们可以创造

www.mysite.com 子域名.mysite.com 并创建许多不同的网站。

有时，站点之间会完全不同，但有时，这些站点实际上链接得非常紧密，以至于它们应该被视为同一站点。

例如： （完全不同的域） mysite-news.com mysite-blog.com 或（相同域，不同子域） 新闻网 博客.mysite.com

我需要的是一种让用户在他们想要的地方创建某种联合的方法，该联合允许通过单击复选框来允许他们想要允许跨站点登录。我无法更改配置，除非它是永久性更改并且不会影响其他站点，因为数千个站点将受到影响。

您认为支持这一点的最佳方式是什么？ OpenID、单点登录？

我需要一些简单的方法来让站点创建“联盟”，然后允许它们的登录跨域。如果有人想加入，那么他们就可以加入。

OpenID 提供了一些不错的功能，但不幸的是，您正在寻找的跨域行为并不是在标准 OpenID 实现中找到的。 OpenID 的主要设计原则之一是，未经用户明确同意，提供商不得披露有关用户的任何信息*，因此任何信誉良好的 OpenID 提供商都不会告诉 mysite-news.com 您已经登录 mysite-blog .com 而不征求用户批准。

[用技术术语来说，这里发生的情况是，从概念上讲，mysite-news.com 和 mysite-blog.com 处于同一安全“领域”，但 OpenID 通过 URL 模式识别领域，并且由于它们位于不同的域，因此不匹配。]

这并不能给你带来你想要的用户体验。之前的一些答案很好地概述了您在这里需要的系统类型：

• 跨域登录 [...]
• 多个站点上的透明用户会话 [...]

简而言之，您将在 login.mysite.com 上设置某种身份验证服务来回答来自 mysite-news.com 和 mysite-blog.com 的查询。您仍然可以通过多种方式利用 OpenID。

1. 其中描述的重定向到登录并返回签名令牌流程正是 OpenID 所做的事情。因此，您仍然可以使用 OpenID 实现来管理签名令牌和重播保护，您的客户端站点只需跳过 OpenID 的初始“发现”部分，并始终将用户重定向到 login.mysite.com 提供商。并且 login.mysite.com 可以跳过“我信任 mysite-blog.com 吗”的步骤，因为它是一个特殊用途的提供商，可以拥有自己始终与之合作的网站白名单。 OpenID 在这里纯粹是在幕后，用户永远不会知道 OpenID 以某种方式参与其中。

2. 反过来，login.mysite.com 可以使用 OpenID 要求用户针对其 OpenID 提供商（无论是 Google、Yahoo 还是像 myOpenID 这样的专家）进行身份验证。从那里开始，它看起来就像一个标准的 OpenID 登录，您将获得所有好处，缺点是您的登录重定向链会变得更长（并且相应地更慢）。他们就是休息时间。

祝你好运。这是一个经常出现的问题，而且我还没有找到一个可以向人们指出的非常好的参考实现，所以如果您发现一些好的东西，请回来告诉我们。

Lastly, Matasano Chargen 关于该主题的剧本的必要链接.

[*] 最近的 Google Buzz 惨败很好地提醒了人们，当您让用户惊讶地发现他们的信息与谁共享时，会发生什么。